• ベストアンサー

ログインクッキーの安全性

ログイン機能のあるWEBサイトを考えています。 一度ログインをすれば、次の日にアクセスをしてもログインを保つサイトや、ID/パスワードを保存する機能があるサイトなどがあるようですが、 これらの機能を実装する場合、特にクッキーについて、どういう風にすれば安全にできますでしょうか?ぜひアドバイスお願いします。

  • fabu
  • お礼率69% (384/554)
  • PHP
  • 回答数4
  • ありがとう数4

質問者が選んだベストアンサー

  • ベストアンサー
回答No.4

そういうサイトも見かけますね。会社でやってるとこもちらほら。 IDとパスワードをmd5とかで暗号化したものをクッキーに保存しておくと思いますが、ほかにも何か必要かもしれません。 どうすれば安全にできるかっていうのはちょっと難しいのではないでしょうか。 重要な情報を扱わないのなら被害は少なくて済むかもしれませんが、利便性を取るか安全性を取るか……悩むべくもありませんが。 でも安全なら使ってみたいですね。

fabu
質問者

お礼

ありがとうございます。 ハッシュしたものをクッキーに入れるだけかも知れませんね。必ず、ログインを保つ、もしくはクッキーに保存をするという承諾を得るようになっていれば、ひとまずはOKですし。

その他の回答 (3)

回答No.3

一度ログインをすれば、次の日にアクセスをしてもログインを保つサイト>相当セキュリティがずぼらなサイトではないでしょうか… 特にクッキーについて、どういう風にすれば安全にできますでしょうか?> クッキーを使用したいのであれば暗号化等を(これだけでは不十分だと思いますが)してセキュリティ面を強化すべきだと思います。暗号化、復号化について説明しているサイトを参考にしてみては?? 基本的に大事な情報をクッキーに保持するのはオススメできません

fabu
質問者

補足

ありがとうございます。 ヤフー、アマゾンもそういうようになっています。 アマゾンなんかは、一度ログインしておけば、クリック1回か2回くらいで商品購入手続きがほとんど終わってしまう位です。 ですので、確実な方法があると思っています。

回答No.2

ログイン機能を実装する場合はPHPのセッション機能を使うのが比較的安全かつ楽です。 CookieでのID、パスワードはあまりお勧め出来ません。 参考 http://www.scollabo.com/banban/php/php_14.html

fabu
質問者

お礼

ありがとうございます。 ログイン後はセッション変数を使う予定ですが、(セッション変数もセキュリティ上安全ではないと聞いたことがありますが)ログアウト後、パスワードを記憶するため、もしくは、次のアクセス時にオートログインさせるため、クッキーを使用しようと思っています。 そこで、より安全な方法を確かめたいと思っていました。何かしらの方法で、ID、パスワードを導くクッキーに入れるはずなのですが、何をDBにいれ、何をクッキーに入れるなどを忘れてしまいました。

回答No.1

クッキー等はPC使用終了時に削除する方が安全ですよ。 ID/パスワードの保存等ならIDメモリーなど便利です

参考URL:
http://idmemory.goo.ne.jp/
fabu
質問者

お礼

ありがとうございます。 サイトを使用するのではなく、構築しようとしています。ですが、IDメモリは面白そうですね。

関連するQ&A

  • クッキーを求めるサイトでログインできない

    いつもは、FireFoxを使っていてログインできるのですが、 「クッキーを設定してください。」・・と書いてあるサイトにログインするのに IDとパスワードを入力するのですが、IE6.0でログインできないのですが、クッキーの設定がまずいのでしょうか? それとも他に原因があるのでしょうか?

  • ログイン機能について

    はじめまして。 現在phpでホームページ作成をしています。 開発環境は以下の通りです。 WindowsXP Apach2.2 PHP5.1 Mysql Smarty 質問なのですが、よくログインユーザー情報の記憶機能を見かけるのですが、あれはクッキーに保存しているのでしょうか? もしそうだとするならば、下記がわかりません。 クッキーに保存しても、ブラウザを切ってしまえばなくなるはずだとおもっているのですが、実際たとえばIDを入力したらパスワードが自動で埋められたりするものもあります。 あれはいったいどうやっておこなっているのでしょうか? サイトの構成上、絶対にログイン機能は不可欠なのですが対してユーザービリティの面で、できるだけ楽に使用してほしいというのもありなるべく実現、実装したいと考えています。 よろしくお願いします。

    • ベストアンサー
    • PHP
  • ログインが必要なサイトのログイン方法(クッキー?)

    IDとパスワードを入れてログインできるタイプの サイトがあったとします これらの多くは一度ログインをしたら 次回からはIDを入れるフォームなどをダブルクリックすれば自働的に前回入れたIDとパスが自動入力されるのですが 最近購入したノートPCではそれができません これはクッキーというやつでしょうか? 設定方法を教えてください よろしくお願いします

  • クッキーが変?

    ネットなどで会員登録をして、IDやパスワードを発行してもらい、それをログイン入力するとアクセスできるものがあります。以前は普通に登録できたのに、なぜか突然登録できなくなりました。IDやパスワードを発行してもらうまでは出来るのですが、それを入力しようとすると、 クッキーが有効になっていないか、クッキーの期限が切れています。 もう一度ログインしてください。 もう一度ログインしてもこのメッセージが表示されてしまう場合は、 お使いのブラウザのクッキーの設定をご確認ください。 などのメッセージがでてきます。自分なりにブラウザのクッキー設定はしたのですが、どうも上手く行きません。どうしたらいいのか教えて下さい。 ちなみに、ヤフーやビッターズなどは出来ます。 ウィルスソフトはウィルスバスターです。

  • WEBのクッキーとセッションは、クライアント側で変更できるのでしょうか?

    クッキーとセッションについて教えてください。 (例として使用している言語はphpです。) オートログイン機能用に、IDとパスワードの情報をクライアント側のクッキーに保存してもらい、 指定のサイトをブラウザで開いたらクッキーから情報を読み込み、 該当したらログイン用のセッションにサイトに入れるフラグを入れるとします(たとえば$_SESSION["login"]="on")。 この場合、セッションの[login]の値が"on"なら、ログインできるのですが、 ブラウザ自体の機能やUNIXのプログラム等にセッションの値自体を変更する何かしらの方法があり、 IDとパスワードをしらなくてもセッションの[login]を"on"にしてログインされてしまうということはあるのでしょうか? また、今回の処理でクッキーを読み込む際、変数に一度格納している(例:$id=$_COOKIE["id"])のですが、 この場合でも、別ドメインのサイトに行った際IDやパスワードがログとして表示されてしまうのでしょうか? (セッションは別ドメインのサイトにリンクした際、飛び先のドメインでも並文としてログが表示されてしまうらしいので) 教えていただけるようお願いします。

  • ログインパスワードの安全性

    スレ違いかもしれませんが、どこで質問すべきかわからないので、 ここでお聞きします。 最近、オークションで入札する機会が増えたので銀行やゆうちょダイレクト のようなパソコンからログインして振込みなどできるようにしたのですが ネットにつないでいると、ログインパスワードやIDを外部から不正に 取得されてしまうのでは?と不安があります。 セキュリティソフトは入れ自宅以外のパソコンでは絶対に銀行へのアクセスはしないようにしています。 でもまだ不安なので、パスワードはブラウザに保存しない、できるだけ パスワードや履歴はなるべくこまめに削除する、 ここまでやっても外部から不正にパスワード取得されることって あるんでしょうか? 他に皆さんが行っている安全なログイン方法などあれば教えてくださいよろしくお願いします。

  • PHPで自動ログインの仕組み

    PHPで自動ログインの仕組み PHPで自動ログインの仕組みをどのように組むか検討しています。 初回アクセス時にユーザー名とパスワードの入力を行い次回アクセスから自動ログインしたいのですがセキュリティの問題で良い方法が分かりません。以下が現在検討中の方法です。 方法(1):クッキーにユーザー名とパスワードを保存する。 欠点 :クッキーを見たらログイン情報がばれる。 方法(2):クッキーにセッションIDを保存してDBのユーザー情報と付き合わせる。 欠点 :結局セッションIDを取られてしまえば成りすましされてしまう。 方法(3):方法(2)にアクセス元のIPアドレスを組み合わせる。 欠点 :100%安全ではない。 やはり、クッキーを使っていたらセキュアな認証は不可能なのでしょうか? 個人情報の流出が懸念されるような場合は毎回ログインしてもらいhttps通信の中 大切な情報はセッションに持つのが正しい方法なのですか? WEBの開発には慣れていません。 認証処理の組か方の常識なのかもしれませんが、詳しい方がいたら教えて下さい。 宜しくお願い致します。

    • ベストアンサー
    • PHP
  • クッキーを切っているのになんでログインできるの?

    どのカテゴリに投稿していいのか迷いましたが スパイウエアなのかな?と思ったのでこちらに 最近クッキーを切っていてもログインできるサイトがあります これはどういう仕組みでログインできるのでしょうか? レジストリに直接かかれてるのかな?と思ったら 怖くなりました javaもactivxも切った状態で クッキーもオフにしているのに IDやパスを入れるとログインできます もしレジストリに直接書き込まれている場合は どうやって消したらいいのでしょうか? スパイウエア検索しても何も出てこないです この仕組みをご存知の方教えてください

  • ログイン状態を維持したままクッキーの削除をしたい。

    今日、クッキーの削除をしたら各サイトに再びログインしなくてはいけない状態になり苦戦しました。IDやパスワードを正しく入力しても「入力内容が正しくありません」と出て前に進まず本当に苦労しました。サイトが重くならないように度々クッキーの削除はする必要がありますが、その度に各サイトにログインするのははっきり苦痛です。 ログイン状態を維持したままクッキーの削除をする方法を教えて下さい。

  • クッキーに保存してあるパスワードを他のサイトから見られる可能性はありますか?

    クッキーに保存してあるヤフーのIDやパスワードを他のサイトにアクセスした際に見られる可能性はありますか?